关于Fortify 代码安全扫描常见问题

最新推荐文章于 2025-04-03 18:57:39 发布
最新推荐文章于 2025-04-03 18:57:39 发布
阅读量2.8w 收藏 14
点赞数 3
分类专栏: javaWeb应用安全问题 文章标签: Fortify Insecure Binder Conf Log Forging
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33200504/article/details/78560782
版权

#Often MisusedFile Upload

问题说明:

jsptype=file的输入框需要进行文件安全性校验

解决方案:

jsp页面中没有很好的检验方式,所以检验在后台校验,采用文件后缀名+文件头信息来判断文件类型。文件头信息验证可参考:http://blog.youkuaiyun.com/honwellhsueh/article/details/12913591


#Unreleased  ResourceSockets

问题说明:

没有正确释放资源

解决方案:

涉及到Connection 相关操作,使用完毕后要正确释放资源。


#Mass AssigmentInsecure Binder Configuration

问题说明:

不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。

解决方案:

接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:https://stackoverflow.com/questions/46840174/what-is-the-solution-for-mass-assignment-insecure-binder-configuration-vulnerab



#Insecure Randomness

问题说明:

不安全的随机数,一般出现在js中使用到Math.random()

解决方案:

如果基于插件封装的js不利于修改,要么更换插件,要么看下有没有更高版本的进行,实在不行只能找相关安全测试工程师是否可以不修改。-0 0


#Log Forging

问题说明:

伪造日志,指我们在用httpclient 或者restTemplate调用第三方接口时,习惯性的把response的信息直接就log.info(response.getXXX) ,可能会发生返回信息中会存在字符串“twenty-one%0a%0aINFO:+User+logged+out%3dbadguy”,则日志中
就会记录以下条目:
INFO:Failed to parse val=twenty-one
INFO:User logged out=badguy

解决方案:

对于接口回调函数返回信息需要记录到日志中时,先进行信息的解码,发生错误时自定义错误提示信息.具体参考:http://blog.youkuaiyun.com/acmman/article/details/62446022








部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
Unreleased Resource(资源未释放)
weixin_30710457的博客
10-13 1462
Unreleased Resource(资源未释放) 改问题好理解和解决。 当我们连接数据库, 操作文件等, 最后都进行关闭连接等操作 可以选择用using 代码块, 或者, 调用Close 或者Dispose 方法 using (var filestream = new FileStream(@"D:\test.txt", FileMode.Open)) { ...
fortify关于Often Misused: File Upload的解决办法
BitterSweetcoffe的博客
06-13 3361
前言,最近公司强调要把fortify漏洞修复为0,而关于这个漏洞,在网上搜索好久,一直没有得到解决办法,然后自己突发奇想,试着让它扫描不到,然后还真的成功了,下面上干活,绝对原创,自己想的,虽然开发才一年,但是程序员的成就感不就来自于解决一些问题后的分享喜悦。5.总结:原理其实就是让fortify认为他是对象,未扫描到MultipartFile,就可以不报漏洞了,当然,最主要的,一定要在自己代码对传入的文件进行判断,不然会有安全问题哦。3.然后原来代码需要改一下。
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全类
应用安全系列之四十五:日志伪造(Log_Forging)之一
最新发布
jimmyleeee的专栏
04-03 493
在记录日志之前,对需要记录的字符串进行格式或者取值范围进行验证,如果验证之后的字符串保证不会含有回车和换行字符,也可以避免日志伪造的攻击。日志伪造(Log Forging),也叫日志注入(Log Injection),是指攻击者通过向应用程序输入恶意数据,使这些数据被记录到日志中,从而破坏日志的完整性、可读性,甚至执行恶意操作。
开发安全之:Often Misused: File Upload
irizhao的专栏
01-19 1472
如果允许攻击者向某个可通过 Web 访问的目录上传文件,并能够将这些文件传递给代码解释器(如 JSP/ASPX/PHP),他们就能促使这些文件中包含的恶意代码在服务器上执行。如果程序容易出现 path manipulation、command injection 或危险的 file inclusion 漏洞,那么攻击者就可能上传带恶意内容的文件,并利用另一种漏洞促使程序读取或执行该文件。如果程序必须允许文件上传,则应当只接受程序需要的特定类型的内容,从而阻止攻击者提供恶意内容。
文件上传漏洞
yusakul的博客
11-13 348
文件上传流程 前端校验 -> http协议传输 -> Web应用程序校验 -> Web应用程序存储 -> Web应用程序解析执行 文件上传漏洞 - 绕过js校验上传 Web应用系统虽然对用户上传的文件进行了校验,但是校验是通过前端javascript代码完成的。由于恶意用户可以对前端javasrcipt进行修改或者是通过抓包软件篡改上传的文件,就会导致基于js的校验很...
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
下面,我们将介绍 Fortify 代码审计中常见的扫描漏洞原理与修复意见。 1. 系统信息泄露(System Information Leak) 系统信息泄露是一种常见的漏洞,它发生在代码中泄露了系统敏感信息,例如操作系统版本、数据库...
Fortify-SCA扫描指南
08-01
本指南旨在为用户提供Fortify-SCA的使用方法和命令解析,帮助用户理解和掌握如何使用Fortify进行高效的源代码扫描。 **Fortify-SCA分析原理** Fortify-SCA基于其内部的分析引擎,通过解析源代码来检测潜在的安全...
Fortify代码扫描 Java提供解决方案支撑
07-09
在Java开发中,使用Fortify进行代码扫描是非常常见的一种做法,可以提升软件的安全性。本解决方案提供了针对Fortify扫描结果的处理工具类,帮助开发者有效地理解和修复这些问题。 `FortifyMapperUtils.java` 可能是...
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
FileUpload问题
diyujun6099的博客
08-29 146
这个问题是在使用ajax提交文件时没有格式化编辑 var form = new FormData(document.getElementById("form_info_mass"));//使用formData才可以将文件上传时解析 $.ajax({ url: "/send/all", data: form,...
有关FileUpload组件的使用和调试的经验
xxxatt的专栏
09-04 662
有关FileUpload组件的使用和调试的经验2006-07-14 13:15 在通过使用FileUpload组件上传的过程中,通过自己的调试,总结如下:1)使用之前的准备,我用的是commons-fileupload-1.1-dev.jar和commons-io-1.1-de
fortify 漏洞扫描的几种解决方式
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
文件上传漏洞总结
m0_73728268的博客
02-18 243
文件上传题目总结
Fortify 代码扫描安装使用教程
热门推荐
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
使用模型::create()出现MassAssignmentException in Model.php的问题
fishermanmax的博客
08-27 1374
注意定义的$fillable集合是否与create里面的集合字段一致!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值